Hallo Christoph,

technisch verstehe ich kaum was, aber grundsätzlich scheint mir das sehr vernünftig zu sein, was Du da machst.

na klar! :-)

Meine Frage (an Dich oder andere, die dem Virus auf der Spur sind):

Meine Idee wäre es gewesen, daß man ein Programm schreiben könnte, das bei jeder Anfrage nach default.ida?XXXetc. (das ist doch Code Red?) einen Gegenangriff auslöst, der die Schadensroutine des betroffenen Servers stoppt und ihn damit von außen "heilt". Die Schwachstelle, die der Virus ausnützt, müßte doch jeder andere genauso angreifen können.

NEIN!!!
Das wäre Mist!!!

Wäre das möglich? Oder wo liegt mein Denkfehler?

Der Denkfehler ist der, daß der Server, den ich "sehe" nicht der vom Wurm betroffene sein muß. In den meisten Fällen ist es ein Proxy (Provider). Ihn anzugreifen würde mehr Schaden und (verständlichen) Ärger (beim Betreiber) anrichten, als alles andere. Außerdem kann Du mit einem Server alleine keinen größeren Provider lahmlegen, was wohl Deine Intention ist.
Der Witz ist: Code Red arbeitet so!
Er kopiert sich nicht nur auf NT-Server, er pinkt von dort eine IP im Weißen Haus vom bl..den Bush an. Das wirkt (sinnbildlich) wie ein großer Parabolspiegel, wenn Du weißt, was ich meine.

Aber, meine Idee ist, einfach den Admin des "gesehenen" Servers zu INFORMIEREN! Er hat damit ja meist wenig am Hut, kann aber widerum in seinen Logs (IP- und Zeitvergleich) nachsehen, wer das gewesen sein könnte, bzw. das nächste Netzwerk informieren, um so schlußendlich den Urheberserver zu ermitteln und dessen Betreiber so über die Schwachstelle zu informieren.

Sinn ist es dann, Bugfixes dort einzuspielen (siehe http://www.w3research.com), die die Lücke beseitigen.

Reiner